石頭智能洗地機A10 Plus體驗:雙向自清潔治好了我的懶癌
一、前言和介紹專為家庭請假懶人而生的石頭科技在近日又帶來了自己的全新旗艦新品,石頭智能洗地機A10 Plus。從這個產品名上就不難看出,這次石頭推出的并不是常見的掃地機器
5 月 23 日消息,國家互聯網應急中心(CNCERT)今日公告,CNCERT 和安天聯合監測到“游蛇”黑產團伙(IT酷哥注:又名“銀狐”、“谷墮大盜”、“UTG-Q-1000”等)組織活動頻繁,攻擊者采用搜索引擎 SEO 推廣手段,偽造 Chrome 瀏覽器下載站。偽造站與正版官網高度相似,極具迷惑性。
用戶一旦誤信并下載惡意安裝包,游蛇遠控木馬便會植入系統并實現對目標設備的遠程操控,盜取敏感數據等操作。通過跟蹤監測發現其每日上線境內肉雞數(以 IP 數計算)最多已超過 1.7 萬。
攻擊活動分析攻擊者搭建以“Chrome 瀏覽器”為誘餌的釣魚網站,誘導受害者從網站下載惡意安裝包。
圖 1 釣魚網站示例 1
圖 2 釣魚網站示例 2
攻擊者搭建了多個釣魚網站,下載時又跳轉至多個下載鏈接,具體如下表所示。
表 1 釣魚網絡地址及惡意安裝包下載地址
下載的惡意安裝包是以“chromex64.zip”命名的壓縮包文件。
圖 3 下載的惡意安裝包
壓縮包存在兩個文件,其中 chromex64.exe 是一個文件解壓程序,另一個是正常的 dll 文件,但文件名以日月年格式命名,疑似惡意程序更新日期。
圖 4 惡意安裝包中的文件
chromex64.exe 運行后將默認在 C:/Chr0me_12.1.2 釋放文件。其中包含舊版本 Chrome 瀏覽器相關文件,由于該軟件不是正常安裝,導致瀏覽器無法正常更新。
圖 5 安裝程序釋放的文件
同時會解壓程序在桌面創建快捷方式,但快捷方式中實際初始運行的是本次活動投放的惡意文件,攜帶參數運行,不僅啟動自身,還啟動 Chrome 瀏覽器進程,以掩蓋該惡意快捷方式功能。
圖 6 偽裝的 Chrome 快捷方式
對應路徑文件如下,采用 dll 側加載(白 + 黑)形式執行。
圖 7 實際投放的惡意文件
在內存中解密并執行 shellcode,該 shellcode 實質為 dll 格式的 Gh0st 遠控木馬家族變種。
圖 8 內存中的 Gh0st 遠控木馬
該 dll 加載后,連接 C2 地址 duooi.com:2869,其中的域名是 2025 年 2 月 19 日注冊的,目前最新樣本主要請求該域名。
圖 9 連接 C2 地址
基于情報關聯域名解析的 IP 地址,發現攻擊者基于任務持續注冊域名,并硬編碼至加密的 shellcode 文件中,部分舊有域名也更換 IP 地址,樣本分析期間所有域名又更換了兩次解析 IP 地址。
表 2 C2 域名變化
圖 10 技術特點對應 ATT&CK 的映射
ATT&CK 技術行為描述表如下。
表 3 ATT&CK 技術行為描述表
通過監測分析發現,國內于 2025 年 4 月 23 日至 5 月 12 日期間,“游蛇”黑產團伙使用的 Gh0st 遠控木馬日上線肉雞數最高達到 1.7 萬余臺,C2 日訪問量最高達到 4.4 萬條,累計已有約 12.7 萬臺設備受其感染。每日境內上線肉雞數情況如下。
圖 11 每日上線境內肉雞數
防范建議請廣大網民強化風險意識,加強安全防范,避免不必要的經濟損失,主要建議包括:
(1)建議通過官方網站統一采購、下載正版軟件。如無官方網站建議使用可信來源進行下載,下載后使用反病毒軟件進行掃描并校驗文件 HASH。
(2)盡量不打開來歷不明的網頁鏈接,不要安裝來源不明軟件。
(3)加強口令強度,避免使用弱口令,密碼設置要符合安全要求,并定期更換。建議使用 16 位或更長的密碼,包括大小寫字母、數字和符號在內的組合,同時避免多個服務器使用相同口令。
(4)梳理已有資產列表,及時修復相關系統漏洞。
(5)安裝終端防護軟件,定期進行全盤殺毒。
(6)當發現主機感染僵尸木馬程序后,立即核實主機受控情況和入侵途徑,并對受害主機進行清理。
相關 IOC樣本 MD5:A1EAD0908ED763AB133677010F3B9BD7
ED74A6765F2FFEE35565395142D8B8B4
10FAC344D2F74D47FF79FE4A6D19765E
IP:104[.]233.164.131
61[.]110.5.21
137[.]220.131.139
137[.]220.131.140
DOMAIN:hiluxo[.]com
titamic[.]com
simmem[.]com
golomee[.]com
duooi[.]com
sadliu[.].com
URL:http[:]//google-chrom.cn
https[:]//google-chrom.cn
https[:]//chrome-html.com
https[:]//am-666.com
https[:]//chrome-admin.com/
https[:]//zhcn.down-cdn.com/chromex64.zip
https[:]//cdn.downoss.com/chromex64.zip
https[:]//oss.downncdn.com/chromex64.zip
https[:]//cdn-kkdown.com/chromex64.zip
本文鏈接:http://www.tebozhan.com/showinfo-26-153004-0.html國家互聯網應急中心:“游蛇”黑產團伙組織活動頻繁,偽造 Chrome 下載站盜取敏感數據
聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。郵件:2376512515@qq.com
Copyright ? 2016-2023 天津谷騏科技有限公司 版權所有 sitemap.xml
違法及侵權請聯系:2376512515@qq.com 津ICP備18001702號
津公網安備 12010102000574號